完成 Active Directory 重新设计和 GPO 应用程序

我过去处理过类似的问题。

话虽这么说，您的组织看起来与普通人相差不远。很多小型企业的建立就像您概述的那样。

如果您真的想重组我发现的最佳解决方案，那就是在您的域的根目录中设置一个具有块组策略继承的 OU。在此 OU 下构建您的新结构并在那里应用您的组策略。然后，您可以以受控方式移动您的计算机和用户对象。

就设计而言 - 使用任何有效的方法。不要试图过分模仿企业的物理安排。对您的系统进行分组，使其易于管理。

为澄清而编辑：

“块继承”是一个选项，允许您设置不接受在其上方定义的任何策略的 OU。这允许完全空白。稍后移动到这里的任何对象都不会应用任何现有策略，即使它们本来会应用。留在原来家中的任何物品仍将适用其当前政策。

尽管这里的逻辑建模有点过时，但它为整体 AD 结构提供了一些极好的指导。

还有一点非常重要——记录你所做的一切。包括为什么这样做以及如何配置。您为此选择的确切方法无关紧要，但我个人真的更喜欢那里的各种Wiki之一。为您的环境构建详细的历史是天赐之物。

响应乔 Qwerty 的额外编辑

我没有必要提倡重组。这样做可能会耗费大量时间，并且会给 *** 带来严重的痛苦。如果这是 OP 选择的路线，我只是建议如何这样做。就个人而言，这将是最后的手段。我已经签约了每个人都是域管理员的地方，并且帐户/组策略一团糟，重组是最可行的选择。

如果可以选择，我会选择在现有的 AD 结构中工作。如果命名约定等打扰您，它们总是可以更改的。OU、组名等都有不会被重命名破坏的 GUID。SBS 条目可能不是从旧 SBS 服务器复制的。SBS 包括活动目录。随着组织的扩展，常见的迁移路径是添加 2008 R2 / 2012 服务器，将其提升为域控制器，移动 FSMO 角色，然后降级原始 SBS 服务器。如果老管理员在最初的 SBS AD 控制台上花费了很多时间，我可以理解您为什么不想更改命名约定。

我将与蒂姆的回答不同，并说您应该通过找出您预期的 GPO 设置不起作用的原因来解决您的问题，而不是通过“重组”您当前的设置。如果您一开始就配置了错误的 GPO，那么重构您当前的设置并不能解决您的问题。除了一些额外的 OU 之外，“结构”对于 SBS 来说看起来很典型。仅仅因为你不再有 SBS 并不意味着你需要把婴儿和洗澡水一起扔掉。询问您是否可以删除Microsoft Exchange Security GroupsOU 让我相信您缺乏适当的知识和经验来进行重新设计。

我怀疑您真正的问题是您在登录终端服务器时尝试为用户配置一些设置，但是您正在配置链接到用户 OU 的 GPO 中的设置，而不是配置链接的 GPO 中的设置到终端服务器 OU 并使用环回策略处理，如果这是您的情况，这将是执行此操作的方法。

那么，您是否尝试为用户配置登录终端服务器时的设置？如果是这样，您在哪个 GPO 中配置这些设置？